巷では、相変わらずDX(デジタルトランスフォーメーション)という言葉が氾濫しており、更にGX(グリーントランスフォーメーション)やCX(カスタマーエクスペリエンス)など、次々と新しいビジネストレンドのキーワードも生まれています。
ただ、これらに共通するのは、デジタル技術を活用して、人が頑張る限界を超えたきめ細かさによるサービス効率やエネルギー効率、生産性、スピード感を提供するなどで、ビジネスで優位性を出そうという考えです。クレーンやトラックなしに人だけでビルを建設しようとする人がいないことと同じで、デジタル技術という道具を使ってビジネスをすることが極当たり前の時代になってきたというだけです。デジタル技術の使い方に慣れていない企業も多いことも事実ですから、商機とばかり華々しい宣伝が目立ちます。工場も、やや地味な傾向もありますが、他人事ではない時代となっています。実際、以前に比べてIoTなどを活用している工場もよく見かけるようになってきました。一方で、ランサムウェアによるサイバー攻撃など、製造現場に関係する情報セキュリティに対する事件も発生しており、不安を感じているとの声も増えてきています。
一昔前は、うちの工場の設備は外部とつながっていないから大丈夫という話もありました。しかし、クラウドを活用することでシステム構築や運用のコストを低減できたり、デジタル機器は繋がることで価値が高まる傾向もあるため、活用が活発になれば、つながっていない状況を保持することも難しくなってきています。また、情報セキュリティの問題は、PCなど情報システム機器だけでなく、働く人からの情報漏洩や、工場を支えている水道や電気などインフラ機器への攻撃など、対策が弱いところを突いてくる傾向も高まってきています。取り組みが弱い中小製造業に侵入し、中小企業のシステムを経由して発注元である大手企業に侵入するなどの事件も起きていますから、中小製造業での情報セキュリティの対策がより重要になってきているということです。
そこで、経済産業省でも2022年11月に「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」を策定するなど、製造業での対策強化に乗り出しています。
中小製造業の工場では、以下のような問題を抱えています。
l 工場システムが、外部からのサイバー攻撃にさらされるリスクの認識が弱く適切な対処なしにインターネットに接続されることがある一方、攻撃を恐れるあまり外部接続を過度に制限して事業競争力を失ってしまっていることもある。
l 工場システムは、サイバー攻撃によって操作されたり、停止したりすると、生産や品質に影響を及ぼすだけでなく、人命や環境にも危険をもたらすこともある。
l 工場システムには機密性や重要性の高い情報が多く含まれており、その漏洩や改ざんが起こると、企業の競争力や信用が損なわれる。
l 工場システムは長期間にわたって運用されることが多く、旧式の機器やソフトウェアが混在していることが多い。そのため、最新のセキュリティ対策を適用することが困難であったり、適用した場合に互換性や安定性の問題が発生することがある。
l 工場システムの構成機器は、多様なベンダーから構成されており、統一的かつ効果的なセキュリティ対策を実施することが難しい。
l 工場システムに関わる人員は、情報セキュリティに対する意識や知識が低いことが多く、不適切な操作や管理を行うことでセキュリティ問題を引き起こす可能性がある。
工場の情報セキュリティ対策としては、特に特効薬というものはなく、以下のような取り組みを実直に行うことが大切です。
l 経営者は情報セキュリティ対策を経営戦略の一部として位置づけ、その重要性や方針を明確にし、組織全体で共有する。
l 工場システムに関わるすべての人員は情報セキュリティ教育を受け、適切な操作や管理を行う。
l 工場システム内で管理している情報資産をリストアップし、情報資産の保管場所や責任者、更新者、参照権限など管理ルールを定めて、明示的に管理する体制を整える。
l 工場システムで使用する機器については、管理方針や管理体制を統一し、全社で協力して対策を実施する。
l 工場システムの構成を明確にし、ゾーンごとに管理方針を明確にする。それぞれのゾーンは、インターネットから分離したり、適切なファイアウォールやアンチウイルスソフトウェア、VPNなどで保護したりするなど、管理方針に則って機器を導入・配置する。
l 工場システムは定期的にバックアップを行う。バックアップ媒体も紛失したりしないよう、管理ルールを定め適切に保管したり廃棄したりする。
l 使用しているOSやソフトウェアは、最新に更新したり、セキュリティパッチを適用する。
l ファイアウォールやVPN、アンチウイルスソフトウェアは導入したことだけを過信せず、これらの対策は常に最新に更新したり、運営状況を監視・監査する。
l 不正アクセスや異常動作を検知・通知・記録する仕組みを導入する。
デジタル技術の扱いに慣れている企業でも、自社だけで取り組むことは中々難しい時代になってきたなと思います。デジタル技術の扱いに慣れてない企業にとっては、対策はなおさら難しいことも事実ですが、一方で、対策を外部業者に任せっきりにすることも危険です。昨今、リスキリングということも重要であると言われるように、働き手が持つべきスキルも変化しています。時代は確実に変化してきていますから、少しずつでも自社内でも学びつつ、自社工場の規模や業種、システムの構成や状況に応じた対策を検討することが重要です。
<参考資料>
l 工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン
https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline.html
l 製造業が狙われる? 完全崩壊した「安全神話」、いま必要なセキュリティー対策とは
https://www.ibm.com/blogs/security/jp-ja/interview-ot-security-noriko-yamashita/
2023年4月1日
ケイデンスコンサルティング合同会社
代表社員 川下敬之